Sécurité PC et Internet/sécurité sites Internet

Sécurité PC et Internet/sécurité-sites-internet

Apprentissage à la sécurité (domestique) PC et Internet

Publier un site Internet (webpage/homepage) nécessite une grande responsabilité de nos jours. Si le site Internet n’est pas assez protégé, vous infectez des milliers d’autres visiteurs de votre site Internet !

Il faut apprendre à déjouer les pièges dès le début. Veuillez suivre les bonnes pistes ci-dessous.

Anciennement un knol qui a été créé le 01.03.2009 et qui a été migré sur WordPress le 02.01.2012.

Authors

• Gust MEES

Original URL: http://knol.google.com/k/-/-/vdujwtjyx3uq/14

---

"En tant que pays et en tant qu’individus, nous sommes vulnérables aux cyberattaques", a souligné M. Lieberman, et "faire l’éducation des internautes sur ces menaces et vulnérabilités est essentiel pour déjouer de telles attaques".

Citation de "Dossier pour la science" : L’ère d’internet Numéro 66 – Janvier-Mars 2010 (page 79) :

Notre société, où l’informatique occupe une place centrale, est vulnérable face au cybercrime. Celui-ci est alimenté par une économie souterraine. Des pirates informatiques forment d’immenses réseaux d’ordinateurs, qui ont de multiples applications : cyberguerres, saturation de sites, envoi de spam…

---

Les alertes de sécurité informatique gratuites…

↑ Grab this Headline Animator

---

Si vous vouliez regarder plus souvent mon blog, mais vous ne disposez pas tout le temps d’une connexion Internet, pas de problème… Pour les utilisateurs de Firefox, téléchargez l’extension Firefox "ScrapBook". Une autre possibilité, qui travaille avec tous les navigateurs, est l’utilisation d’un aspirateur de sites Internet, tel que "HTTrack". Cette extension copie des pages Internet complètes et, de cette façon, il vous est possible de la visionner sans connexion Internet.

Afin de vous retrouver lors de votre prochaine visite, je vous conseille de vous abonner au service gratuit de "WatchThatPage" et vous serez notifié quotidiennement des changements dans mon blog. Vous trouverez ici mon didacticiel qui vous guidera à travers la procédure à suivre : Didacticiel WatchThatPage

---

Internet, cet outil formidable qui fait fonction de la plus grande bibliothèque mondiale et qui est aussi devenu un monde virtuel, dont son contenu est rédigé par les internautes, commence à devenir une zone incontrôlable, une zone de méfiance, mais surtout un paradis pour les cybercriminels et un cauchemar pour les internautes… Sachez que le sécurité commence d’abord dans notre tête ! Croire qu’un système d’exploitation (n’importe lequel) est invulnérable est la plus grande bêtise que l’on peut penser et avec cette mentalité il est sûr et certain que votre ordinateur sera infecté un de ces jours ! Veuillez lire aussi mon knol : Sécurité PC et Internet / sécurité c’est quoi ? Il y a 5 ans, 90 % des attaques portaient sur les systèmes d’exploitation (Windows) et 10 % sur les applications. Aujourd’hui, c’est exactement le contraire ! » Source : Protéger son ordinateur, c’est pourtant si simple ! Un antivirus ne suffit pas !  Le crime sur Internet rapporte plus que le trafic de drogue, sur Internet, c’est toutes les trois secondes qu’une identité est volée ! Source : LEMATIN (CH) [ajouté au 04.10.2009] 04.07.2011: Antisec dit avoir piraté un serveur d’Apple – Internet – sécurité – Actualités Sciences-Tech – FRANCE 2 : toute l’info – France 2 Des chercheurs divulguent des failles dans le site de McAfee (31.03.2011) 6 Français sur 10 victimes du cybercrime (ajouté au 14.09.2010) Des sites gouvernementaux Français seraient touchés par d’importantes failles de sécurité (ajouté au 14.09.2010) Veuillez suivre les news en français, en anglais et en allemand ici http://www.scoop.it/t/securite-pc-et-internet/.

---

Je suis déjà un utilisateur averti et j’ai créé (ou je veux créer) un site Internet, à quoi dois-je faire attention ?

.

Pour créer un site Internet il y a différentes possibilités :

.

.

• soit que l’on a les connaissances de programmation (HTML, JAVA, PHP, etc.) pour le créer soi-même
• ou que l’on utilise des solutions préfabriquées, en ligne, clé en main, qui sont proposées par différents services, tels que (liste non exhaustive) GEOCITIES de Yahoo (en anglais), WIX (en anglais), JIMDO (en français) 
  

---

Attention : Geocities va fermer ses portes fin 2009, le message définitif viendra en été !!!

 (ajouté au 24.04.2009)

Ajoute au 10.07.2009 : —> Yahoo Geocities fermera ses portes le :

Important notice: GeoCities is closing.

Dear Yahoo! GeoCities customer,

We’re writing to let you know that Yahoo! GeoCities, our free web site building service and community, is closing on October 26, 2009.

---

• ou bien, avec un peu de connaissances de programmation (ou même sans connaissances de programmation) il y a des solutions préfabriquées, appelées des CMS (Content Management Systems) qui utilisent la plupart du temps du PHP, que l’on installe sur son ordinateur ou qui peuvent être intégrées dans une offre d’hébergement (hosting) et de ce fait être installées sur le serveur de l’hébergeur, tels que (les plus connus), liste non exhaustive :

• Joomla
• Mambo
• Typo 3

En dehors des CMS il existe aussi encore les LMS (Learning Management System) qui est un système logiciel développé pour accompagner les enseignants dans leur gestion des cours d’éducation en ligne pour leurs étudiants. Les services offerts incluent généralement un contrôle d’accès, des outils de communication (synchrones et/ou asynchrones) et l’administration des groupes d’utilisateurs  dont voici une liste non exhaustive :

• Dokeos

• ATutor

• Claroline

• Moodle

• Ganesha

• AnaXagora

Une liste plus détaillée ici : TOTH

Or, quand on utilise ces CMS et LMS (LCMS [Learning Content Management Systems]) il faut être conscient qu’il peut y avoir des failles de sécurité (vulnérabilités) qui seront découvertes et publiées. Dès publication de ces vulnérabilités il faut être sur le qui-vive, attendre la publication d’une mise à jour sur le site des développeurs pour l’installer tout de suite après.  Autrement vous risquez que votre site Internet soit infecté et qu’il devient la proie de la mafia informatique. Votre site Internet servira à infecter les ordinateurs de vos visiteurs…

---

Liens connexes :

• WebSense Security Alerts (ajouté au 28.01.2010)
• 300 000 nouveaux sites Internet malicieux chaque jour (ajouté au 29.01.2009) 

• Près de 100.000 sites légitimes ont été touchés par l’une des plus importante attaque de cybercriminels – 1.000 serveurs français concernés
• Plus d´un million de membres de TorrentReactor piratés 
• Augmentation des cas d’ordinateurs infectés suite à la visite de sites Internet paraissant inoffensifs. 
• Bilan du dernier rapport sur la sécurité de Symantec (ajouté au 25.11.2008),
• Rapport de Symantec sur l’économie souterraine (ajouté au 21.12.2008)
• La sécurité en 2009 vue par Websense (ajouté au 23.12.2008)
• Comment le cybercrime exploite la crise économique (ajouté au 30.12.2008)
• Les Top menaces en 2008 de Trend Micro en anglais (ajouté au 01.01.2009)
• 22.000 nouveaux malwares créés chaque jour en 2008 (ajouté au 14.01.2009)

Vulnérabilités et risques de Joomla, TYPO3, Drupal et autres services Open Source :

• Open-Source-Systeme wie Joomla, Drupal oder Typo 3 gefährden Unternehmen und Kunden 

---

Veuillez visionner la présentation Powerpoint qui vous explique en détail les enjeux…

embed?id=dhkp6wsz_54cw2gp5k2

---

Existe-t-il des outils spéciaux pour contrôler la sécurité  des sites Internet ?

.

À la mode est actuellement le cross-site scripting (XSS) , l’injection de code (code injection) et les applets signés. Nous avions décrit en détail le fonctionnement et la tendance (trend) de ces attaques dans nos articles précédents :

.

• Risques de sécurité sur tous les systèmes d’exploitation (Mac et Linux compris) ! 

• Pourquoi de plus en plus de virus et autres bestioles informatiques, et ceci sur toutes plateformes ?

• Les réels dangers des attaques XSS (ajouté au 03.03.2009)

Rappelons toutes fois que pour ne pas devenir victime d’une telle attaque, qu’en dehors de la nécessité d’installer un antivirus, d’un firewall (pare-feu), d’un antispyware et d’un antitroyen, il faut impérativement aussi télécharger et installer les mises à jour (updates, patches, correctifs) du système d’exploitation utilisé (Windows, Mac, Linux, et autres…) et surtout veiller à mettre à jour les logiciels dits «utilitaires indispensables», tels que «Java, Adobe Acrobat Reader, Adobe Flash, Firefox, Internet Explorer, Opera, Open Office, VLC Media Player, Media Player, Real Player, etc.».

Veuillez télécharger mon didacticiel, qui vous guidera à travers l’utilisation du service gratuit en ligne Secunia Software Inspector , à l’adresse Scan gratuit de logiciels installés 

Veuillez aussi visiter mon knol Sécurité PC et Internet / mises à jour

Mes articles précédents s’occupaient seulement de l’internaute, mais qu’en est-il pour le webmaster (webmestre), celui qui s’occupe de la conception, création et gestion d’un site Internet ? 

Pour la création de sites Internet on utilise de plus en plus le PHP  et des CMS (Content Management Systems) , basant sur le PHP et/ou basant sur du Java et Python. Les plus connus sont certainement Joomla  (anciennement Mambo), Typo3 , et pour la création de forums le phpBB .

Or dans toutes ces applications des vulnérabilités ont été découvertes et on en trouvera certainement aussi dans le futur.  Ces vulnérabilités doivent être colmatées au plus vite afin de ne pas permettre à la mafia informatique (les cybercriminels) d’avoir accès au serveur où le site Internet est hébergé et ainsi de préparer le site Internet avec du code malicieux pour infecter les visiteurs.

---

Les outils gratuits en ligne

Symantec, éditeur de produits de sécurité connus sous le nom de Norton…, vient de créer un nouveau service en ligne, le Norton Safe Web. Testez l’intégrité et la sécurité d’un site Internet gratuitement en ligne.

Les serveurs de Symantec analysent les sites Web pour vérifier leur effet sur votre ordinateur. Ensuite, à l’aide de la barre d’outils Norton installée sur votre PC, le degré de sécurité du site Internet sera indiqué avant que vous ne le visitiez.

Ce service est aussi gratuitement disponible comme test en ligne ici : Norton Safe Web 

Un exemple concret ci-dessous

---

Les outils de protection pour l’internaute

(ajouté au 25.04.2009)

Étant au courant maintenant des dangers réels, vous vous demandez certainement "

Comment puis-je savoir si un site Internet est frauduleux ?" et/ou "comment puis-je me protéger ?".

Bonne question, voici la réponse.

Il existe des extensions pour les navigateurs, des "barres d’outils" (toolbars), appelées des "add on", des modules complémentaires tels que (liste non exhaustive) :

• WOT
• Netcraft Toolbar (EN) (Windows, Mac, Linux)
• Spoofstick toolbar (EN)
• NoScript
• Internet Monitor toolbar (Windows, Mac,Linux)

Ma barre d’outils (Internet Monitor ) vous offre les services suivants gratuits, voir la capture d’écran ci-dessous svp.

Cliquez sur l’image pour l’agrandir

Les didacticiels (tutoriaux / tutorials) disponibles pour les applications ci-dessus :

• Tutorial Netcraft Toolbar (EN)
• Mon didacticiel Spoofstick (FR)

Vidéo de WOT en anglais, mais très facile à comprendre

---

Exemples pratiques :

Navigation avec Mozilla Firefox et la "NetCraft Toolbar" :

Ci-dessus une capture d’écran (screenshot) qui a été faite lors d’une navigation sur Internet et qui montre que le site Internet visité représente un danger élevé. "Risk Rating" (en haut à gauche) au maximum et en rouge.

---

Pour toujours être informé des vulnérabilités, je vous conseille de visiter les sites Internet Security Focus et Securityspace et de vous abonner à leur flux d’information RSS. 

Voir aussi l’article 5.000 sites Internet infectés par jour 

Le webmaster (webmestre) doit donc toujours être au courant des vulnérabilités présentes et précédentes et ainsi tenir à jour impérativement le code source de ces applications. Le webmaster a donc une très grande responsabilité pour garder sécurisé un site Internet, chose pas facile du tout. 

Mais comment savoir maintenant, même ayant travaillé sérieusement (des non-sérieux existent aussi) si un site Internet est bien sécurisé pour ne pas permettre à la mafia informatique de le détourner (hijacking) pour des actions illégales ?

Heureusement il existe une multitude d’outils, même gratuits qui permettent de faire des tests approfondis, appelés aussi "Web site assessment", du serveur et des applications y présentes, dont voici une sélection non exhaustive, ainsi que des sites Internet réputés traitant la sécurité spécifique de ses attaques:

.

.

.

• SECURITY DATABASE  

• http://www.cisecurity.org 

• http://www.acunetix.com 

• http://www.nessus.org 

• http://www.sensepost.com/research_tools.html —> WIKTO

• http://www.qualys.com/forms/trials/freescan 

• http://www.sans.org/top20/#c1 

• http://www.snort.org 

• http://www.alertsite.com 

• http://www.gamasec.com 

• http://www.watchfire.com 

• http://en.wikipedia.org/wiki/cross_site_scripting 

• WebCruiser Web Vulnerability Scanner 2.3.2 (Windows)

• Web Application Attack and Audit Framework (w3af)

• Burp Suite

Avec cette sélection d’outils de contrôle vous disposez maintenant d’un arsenal puissant pour pouvoir vérifier la sécurité de vos applications.  Mais n’oubliez pas non plus la sécurité de l’ordinateur avec lequel vous entretenez la gestion de votre site Internet. Si celui-ci n’est pas assez sécurisé il se pourrait qu’il soit infecté et que les pirates informatiques aient accès à votre code d’accès du serveur. À ce moment là ce sera le contrôle total pour les cybercriminels !

Veuillez lire aussi les articles suivants :

• Logiciels tests intrusion (JournalDuNet) 
• 70% des sites Internet seraient vulnérables (JournalDuNet) 

Je tiens à préciser que ces outils sont seulement à utiliser pour le test des propres sites. Toute tentative de les utiliser sur d’autres sites est une effraction aux lois et sera puni !

Voir ici : Criminalité informatique (lois au Luxembourg) 

Shields up!

Oui, bien évidemment quand il y a moyen de faire du commerce des solutions sont proposées par des firmes spécialisées en applications de sécurité, mais il existe aussi des outils gratuits sortants de la forge de l’Open Source :

• OWASP (EN) : OWASP (EN) 

• OWASP (LU) : OWASP (LU) 

• OWASP (FR) : OWASP (FR) 

• OWASP (BE) : OWASP (BE) 

• OWASP (DE) : OWASP (DE) 

• OWASP Download (EN) : OWASP Download (EN) 

Remarque : OWASP existe aussi pour Mac et Linux OWASP Pantera Web Assessment Studio Project 

---

Extrait du magazine de sécurité GOBAL SECURITY MAG :

Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable.

De nombreuses vulnérabilités sont identifiées chaque jour dans des applications courantes. Les outils permettant une détection – et une éradication – de ces vulnérabilités au sein du Système d’Information sont devenus une nécessité pour les entreprises soucieuses de leur sécurité. 

Toutefois, rien ne peut remplacer un test d’intrusion réalisé par des experts. 

Nécessaire : Veuillez lire l’article complet ici GLOBAL SECURITY MAG 

Fin extrait.

---

Liens connexes :

• Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ? 

•  Eric Doyen et Hervé Schauer, Club 27001 :  une démarche pragmatique des normes 

• Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi ! 
• Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ? 
• Gérôme Billois SoluCom : Contrôle d’accès réseau : définir sa stratégie de protection pour réussir son projet 
• Edouard Jeanson, Sogeti : La mise en œuvre d’une sécurité de base permet de s’affranchir des risques liés à la VoIP  
• XSSED : XSSED
• BEST IT SECURITY AND AUDITING SOFTWARES 2007
• INSECURE.ORG : INSECURE.ORG 

---

Récapitulatif

Les "webmasters" des sites Internet ont une grande responsabilité pour maintenir leurs sites Internet à jour. Surtout ceux qui utilisent des sites Internet employant du PHP et des bases de données avec PHP MySQL. Assez souvent, malheureusement, des vulnérabilités sont détectées qui permettent aux cybercriminels d’exploiter ces vulnérabiltés et d’injecter du code malicieux dans ces sites Internet (code injection et/ou cross-site scripting [XSS] ). Ce code malicieux est conçu sur la connaissance des dernières vulnérabilités détectées dans les applications tierces, c’est à dire : si une vulnérabilité est détectée par exemple dans Adobe Acrobat Reader , les cybercriminels créeront un code malicieux qui vise à infecter tout utilisateur n’ayant pas mis à jour son ordinateur, qui ne dispose pas de la dernière version de cet utilitaire.

D’abord ils rechercheront les sites Internet qui ne disposent pas des dernières mises à jour et puis ils injecteront le code malicieux préparé. 

Un site Internet qui est compromis, infecte alors tout visiteur dont l’ordinateur ne dispose pas des dernières mises à jour. Il suffit tout simplement de visiter le site Internet, aucune interaction de l’internaute est nécessaire. On appelle ceci du"drive by download".

Scénarios possibles de XSS (en anglais) :

• http://www.xssed.com/xssinfo#Exploit_scenarios

---

References

1. PHP
2. CMS

---

L’auteur Gust MEES est membre du "Comité Conseil" de "Luxembourg Safer Internet" (LuSI), appelé maintenant BEE-SECURE, partenaire officiel (consultant) du Ministère de l’éducation au Luxembourg du projet  "MySecureIT", partenaire officiel du Ministère du Commerce au Luxembourg du projet "CASES" (Cyberworld Awareness and Security Enhancement Structure). The author Gust MEES is "Member of the Advisory Board" from "Luxembourg Safer Internet" (LuSI), BEE-SECURE, Official Partner (Consultant) from the Ministry of Education in Luxembourg, project "MySecureIT", Official Partner from the Ministry of Commerce in Luxembourg, project "CASES" (Cyberworld Awareness and Security Enhancement Structure).

Si vous ne trouviez pas réponse à votre question, n’hésitez pas à laisser un commentaire avec votre question. J’essaierais de répondre prochainement…

.

Ces FAQ’s grandiront chaque jour… gràce à vous chers lecteurs

.

..

.

.